Asetuksella (EU) 2024/2847, kyberkestävyyssäädös, pyritään vahvistamaan kyberturvallisuutta kaikkialla Euroopan unionissa (EU). Siinä määritellään kattava kehys sen varmistamiseksi, että digitaaliset tuotteet ja palvelut ovat:
sisäänrakennetusti turvallisia
häiriönsietokykyisiä kyberuhkia vastaan, ja
kykeneviä tarjoamaan jatkuvan suojan koko niiden elinkaaren ajan.
Siinä vastataan kasvaviin kyberturvallisuushaasteisiin, joita aiheutuu laitteiden lisääntyvästä liitettävyydestä ja kyberhyökkäysten lisääntymisestä, joilla on merkittäviä taloudellisia ja yhteiskunnallisia vaikutuksia.
TÄRKEIMMÄT KOHDAT
Kyberkestävyyssäädöksellä on useita keskeisiä tavoitteita.
Edistetään turvakäytäntöjä kannustamalla valmistajia sisällyttämään kyberturvallisuus tuotteiden suunnittelu- ja kehitysvaiheisiin.
Varmistetaan avoimuus ja vastuuvelvollisuus vaatimalla valmistajia antamaan selkeitä tietoja tuotteidensa kyberturvallisuusominaisuuksista ja ottamaan vastuu haavoittuvuuksien korjaamisesta.
Edistetään kyberturvallisuuden sisämarkkinoita yhdenmukaistamalla sääntöjä kaikissa EU:n jäsenvaltioissa pirstoutumisen välttämiseksi ja tasapuolisten toimintaedellytysten varmistamiseksi.
Soveltamisala
Tätä asetusta sovelletaan monenlaisiin tuotteisiin, jotka sisältävät EU:n markkinoille saatettuja digitaalisia elementtejä riippumatta siitä, mihin valmistaja on sijoittautunut, ja jotka voivat olla suoraan tai epäsuorasti liitettyjä muihin laitteisiin tai verkkoihin, kuten
laitteistotuotteet (esim. esineiden internetin (IoT) laitteet, älykkäät kodinkoneet, teollisuuden ohjausjärjestelmät, mikrosirut)
ohjelmistotuotteet (esim. videopelit, sovellukset, tietokoneohjelmat).
Tietyt tuotteet jätetään soveltamisalan ulkopuolelle, kuten:
lääkinnälliset laitteet, jotka kuuluvat jo EU:n erillisten asetusten soveltamisalaan
ilmailu- ja autoteollisuuden tuotteet, joita säännellään alakohtaisella lainsäädännöllä
laivavarusteet.
Valmistajiin sovellettavat keskeiset vaatimukset
Sisäänrakennetusti turvallinen
Valmistajien on sisällytettävä kyberturvallisuus tuotesuunnitteluun ja -kehitykseen. Tähän sisältyvät muun muassa oletusarvoisesti tietoturvalliset asetukset, asianmukaiset salaustasot ja pääsynvalvontamekanismit.
Riskien arviointi ja lieventäminen
Valmistajien on tehtävä riskinarviointi ja pidettävä se ajan tasalla sekä toteutettava toimenpiteitä tunnistettujen haavoittuvuuksien korjaamiseksi tuotteen elinkaaren aikana.
Jos valmistajat ovat kolmannen osapuolen komponenttien tai palvelujen varassa, niiden on noudatettava asianmukaista huolellisuutta integroidessaan ne tuotteisiinsa.
Avoimuus ja dokumentointi
Valmistajien on toimitettava selkeä ja kattava dokumentaatio, mukaan lukien:
kuvaus tuotteen kyberturvallisuusominaisuuksista
ohjeet turvallisesta asennuksesta, konfiguroinnista ja käytöstä
ilmoitettava vakavista kyberturvallisuuspoikkeamista ja aktiivisesti hyödynnetyistä haavoittuvuuksista asiaankuuluville kansallisille viranomaisille ja Euroopan unionin turvallisuusvirastolle (ENISA) ilman aiheetonta viivytystä
ilmoitettava käyttäjille mahdollisista riskeistä ja annettava ohjeita niiden lieventämiseksi.
Ohjelmistopäivitykset ja -tuki
Valmistajien on toimitettava tietoturvapäivityksiä tuotteen tukijakson aikana, jonka on vastattava sitä aikaa, jonka tuotteen oletetaan olevan käytössä.
Päivityksillä on korjattava haavoittuvuuksia ja varmistettava tuotteen jatkuva turvallisuus.
Maahantuojien ja jakelijoiden velvollisuudet
Lisäksi asetuksella velvoitetaan maahantuojat ja jakelijat varmistamaan, että tuotteet ovat kyberturvallisuusvaatimusten mukaisia.
Maahantuojien on varmistettava, että valmistajat ovat noudattaneet asetusta, ja varmistettava, että tuotteet on merkitty ja dokumentoitu oikein.
Jakelijoiden on varmistettava, että tuotteissa on CE-merkintä ja että tiedot ja ohjeet on toimitettu käyttäjälle ennen niiden asettamista saataville markkinoilla.
Tuotteiden CE-merkintä osoittaa, että ne täyttävät kyberkestävyyssäädöksen vaatimukset.
EU:n ulkopuolisten valmistajien on noudatettava EU:n markkinoille pääsyä koskevaa asetusta, mikä saattaa vaikuttaa maailmanlaajuisiin kyberturvallisuusstandardeihin.
Euroopan parlamentin ja neuvoston asetus (EU) 2024/2847, annettu , digitaalisia elementtejä sisältävien tuotteiden horisontaalisista kyberturvallisuusvaatimuksista ja asetusten (EU) N:o 168/2013 ja (EU) 2019/1020 ja direktiivin (EU) 2020/1828 muuttamisesta (kyberkestävyyssäädös) (EUVL L, 2024/2847, ).
Direktiiviin (EU) 2024/2847 tehdyt peräkkäiset muutokset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.
MUUT ASIAAN LIITTYVÄT ASIAKIRJAT
Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, annettu , tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös) (EUVL L, 2024/1689, ).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu , toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, , s. 80–152).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2020/1828, annettu , kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta (EUVL L 409, , s. 1–27).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu , Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, , s. 15–69).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/1020, annettu , markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta (EUVL L 169, , s. 1–44).
Euroopan parlamentin ja neuvoston asetus (EU) 2019/2144, annettu , moottoriajoneuvojen ja niiden perävaunujen sekä näihin ajoneuvoihin tarkoitettujen järjestelmien, komponenttien ja erillisten teknisten yksiköiden tyyppihyväksyntävaatimuksista niiden yleisen turvallisuuden ja ajoneuvon matkustajien ja loukkaantumiselle alttiiden tienkäyttäjien suojelun osalta, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/858 muuttamisesta ja Euroopan parlamentin ja neuvoston asetusten (EY) N:o 78/2009, (EY) N:o 79/2009 ja (EY) N:o 661/2009 sekä komission asetusten (EY) N:o 631/2009, (EU) N:o 406/2010, (EU) N:o 672/2010, (EU) N:o 1003/2010, (EU) N:o 1005/2010, (EU) N:o 1008/2010, (EU) N:o 1009/2010, (EU) N:o 19/2011, (EU) N:o 109/2011, (EU) N:o 458/2011, (EU) N:o 65/2012, (EU) N:o 130/2012, (EU) N:o 347/2012, (EU) N:o 351/2012, (EU) N:o 1230/2012 ja (EU) 2015/166 kumoamisesta (EUVL L 325, , s. 1–40).
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu , yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, , s. 1–122).
Euroopan parlamentin ja neuvoston asetus (EU) 2017/745, annettu , lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta (EUVL L 117, , s. 1–175).
Euroopan parlamentin ja neuvoston asetus (EU) 2017/746, annettu , in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta (EUVL L 117, , s. 176–332).
Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/943, annettu , julkistamattoman taitotiedon ja liiketoimintatiedon (liikesalaisuuksien) suojaamisesta laittomalta hankinnalta, käytöltä ja ilmaisemiselta (EUVL L 157, , s. 1–18).
Euroopan parlamentin ja neuvoston direktiivi 2014/90/EU, annettu , laivavarusteista ja neuvoston direktiivin 96/98/EY kumoamisesta (EUVL L 257, , s. 146–185).
Euroopan parlamentin ja neuvoston asetus (EU) N:o 168/2013, annettu , kaksi- ja kolmipyöräisten ajoneuvojen ja nelipyörien hyväksynnästä ja markkinavalvonnasta (EUVL L 60, , s. 52–128).